Para empezar esta hoja de ruta, quiero señalar que tiene como objetivo ser una guía, no pretende ser la "guía definitiva", por lo que si tiene puntos de vista diferentes o entiende que hay formas mejores de plantear la hoja de ruta, hagamelo saber en los comentarios. Aclarado esto, empecemos.

1 - ISACA

También conocida como Information Systems Audit and Control Association, o en español, Asociación de Control y Auditoría de Sistemas de Información.

ISACA es una asociación profesional internacional enfocada en el gobierno de T&I (tecnología e información). ISACA a nivel mundial engloba el ITGI (Information Technology Governance Institute) y el CMMI Institute.

Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

1.1 Estructura de ISACA

Defino la estructura de ISACA como lo que podemos aprovechar de lo que ofrece la asociación para aplicar a nuestras practicas de auditoria.

• Certificaciones:

  • CISA (Auditor de Sistemas de Información Certificado):
  • CISM (Gerente de Seguridad de la Información Certificado):
  • CGEIT (Certificado en el Gobierno de la TI empresarial):
  • CRISC (Certificado en el Control de Sistemas de Información y Riesgos):
  • CSX-P (Certificación de practicante de ciberseguridad):
  • CDPSE (Ingeniero certificado en soluciones de privacidad de datos):

• Frameworks, Estándares y Modelos:

  • COBIT.
  • Risk IT Framework
  • IT Audit Framework (ITAF™): Un framework de practicas profesional para auditorias de TI
  • Capability Maturity Model Integration (CMMI)
  • Business Model for Information Security (BMIS)

• Programas y Herramientas de Auditoria

• Publicaciones

• Documentos tecnicos (white papers)

Parece mucho para estudiar 🥴 ...

Para empezar no es necesario leer todo desde mi criterio, pero conocer de forma general y saber que ese material esta disponible para cuando llegue el momento de contar con mas experiencia en el campo y profundizar algunos temas. Por eso lo que leí yo de todos esos recursos y recomiendo para empezar fue:

• CISA: No hacer la certificación, para ello se necesita experiencia como auditor en entrenamiento en varias auditorias, sino buscar una guía de estudio sobre la certificación y leer el primer capitulo donde se puede ver panorama general y el capitulo donde se describe un proceso de auditoria.
• IT Audit Framework (ITAF™): es un framework de practicas profesionales para auditorias de TI, donde podra encontrar estándares, lineamientos, herramientas y técnicas para orientar y asegurar la calidad del proceso de auditoria. De manera general es bueno conocer su estructura que es la siguiente:
  • Estándares, divididos en tres categorías:
    • Estándares generales (serie 1000): Los principios de orientación según los cuales operan los profesionales de auditoría y aseguramiento de SI. Se refieren a la realización de todas las asignaciones y se ocupan de la ética, independencia, objetividad, debido cuidado, conocimiento, competencia y habilidad de los profesionales de auditoría y aseguramiento de SI. Las declaraciones de los estándares (en negrita) son obligatorias.
    • Estándares de desempeño (serie 1200): Se refieren a la realización de la asignación; es decir, planificación y supervisión, alcance, riesgo e importancia, movilización de recursos, gestión de supervisión y asignaciones, evidencia de auditoría y aseguramiento, y la puesta en práctica del juicio profesional y debido cuidado.
    • Estándares de reportes (serie 1400): Se refieren a los tipos de reportes, medios de comunicación y a la información comunicada.
  • Lineamientos, que respaldan los estándares y también están divididos en tres categorías:
    • Lineamientos generales (serie 2000)
    • Lineamientos de desempeño (serie 2200)
    • Lineamientos de reportes (serie 2400)
  • Herramientas y técnicas, que brindan orientación adicional para los profesionales de auditoría y aseguramiento de SI; por ejemplo, libros blancos, programas de auditoría/aseguramiento de SI, la familia de productos de COBIT 5

2 - Estándares

El conocimiento de estándares internacionales es fundamental, pero lo es mas aun conocer primero a quienes crean tales estándares, se lista algunas organizaciones/institutos:

• ISO.
• NIST
• ITU

Y algunos de los estándares que se deben conocer:

• ISO/IEC 27001
• ISO/IEC 27002
• ISO/IEC 17799
• NIST 800-53